Toon posts:

[Debian+Gentoo] www-data heeft geen rechten via NFS

Pagina: 1
Acties:

dinsdag 11 augustus 2009 23:13

Acties:
  • Battle Bunny
  • Registratie: Oktober 2001
  • Laatst online: 22-01 17:34

Battle Bunny

Topicstarter
Ik heb een Gentoo machine die via NFS een directory deelt naar een Debian machine waarop Apache files moet wegschrijven.

Gentoo noemt zichzelf
code:
1

Linux version 2.6.27-gentoo-r8 (root@storage) (gcc version 4.1.2 (Gentoo 4.1.2 p1.0.2)) #5 SMP Thu Aug 6 16:52:20 CEST 2009


Mijn /etc/exports bevat alleen:
code:
1

/data 192.168.0.0/16(async,no_subtree_check,rw)


Een tweede server draait Debian,
code:
1

Linux version 2.6.26-2-amd64 (Debian 2.6.26-17) (dannf@debian.org) (gcc version 4.1.3 20080704 (prerelease) (Debian 4.1.2-25)) #1 SMP Sun Jun 21 04:47:08 UTC 2009

Met een mount 192.168.0.200:/data /data heb ik de NFS share van Gentoo ge-mount.

Dit alles werkt prima, met één uitzondering: Debian heeft een Apache draaien met FastCGI (voor het geval dat verschil maakt) die files moet aanmaken op de Gentoo machine. Dit faalt door een access denied error.

Apache e.d. op Debian heb ik niets aan aangepast. Heb gevonden dat deze draait onder de user www-data, maar geen idee hoe ik deze bekent kan maken op Gentoo.

Iemand een suggestie? Eigenlijk wil ik Gentoo gewoon helemaal "open" zetten NFS en SAMBA-wise, omdat het toch een prive netwerk is waar niemand bij kan.

Als ik iets doms doe, en er een makkelijkere manier is om een linux machine als fileserver te laten werken hoor ik het ook graag.

dinsdag 11 augustus 2009 23:28

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Battle Bunny schreef op dinsdag 11 augustus 2009 @ 23:13:
Apache e.d. op Debian heb ik niets aan aangepast. Heb gevonden dat deze draait onder de user www-data, maar geen idee hoe ik deze bekentd kan maken op Gentoo.
man useradd


:?

dinsdag 11 augustus 2009 23:34

Acties:
  • Battle Bunny
  • Registratie: Oktober 2001
  • Laatst online: 22-01 17:34

Battle Bunny

Topicstarter
Osiris schreef op dinsdag 11 augustus 2009 @ 23:28:
man useradd

:?
Typefout laat op de avond moet kunnen. Users toevoegen kan ik, het probleem is (of beter, waar ik geen kennis van heb) het wachtwoord van de www-data user op de server, het wijzigen van dit password, en wat ik daar mee zou breken.

Nu komt natuurlijk
man usermod
:?

Maar die vlieger gaat niet op: cat /etc/shadow geeft namelijk voor www-data "www-data:*", wat (voor zover ik weet) wil zeggen dat ik dit wachtwoord niet kan uitlezen).

dinsdag 11 augustus 2009 23:42

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris 

man 5 shadow
If the password field contains some string that is not valid result of
crypt(3), for instance ! or *, the user will not be able to use a unix
password to log in, subject to pam(7).
Ergo: géén password.

En besides, volgens mij maken passwords niet uit bij NFS. Zolang de uid's maar gelijk zijn geloof ik. Of misschien toch usernames, dunno. Maar mijn laptop en server hebben andere wachtwoorden bij gelijke usernames/uid's en ik kan er probleemloos bij. :)

Leesvoer:
9.5.2. File Permissions

Once the NFS file system is mounted read/write by a remote host, the only protection each shared file has is its permissions. If two users that share the same user ID value mount the same NFS file system, they can modify each others files. Additionally, anyone logged in as root on the client system can use the su - command to become a user who could access particular files via the NFS share. For more on NFS and user ID conflicts, refer to the chapter titled Managing User Accounts and Resource Access in the Red Hat Enterprise Linux Introduction to System Administration.

By default, access control lists (ACLs) are supported by NFS under Red Hat Enterprise Linux. It is not recommended that this feature be disabled. For more about this feature, refer to the chapter titled Network File System (NFS) in the Red Hat Enterprise Linux System Administration Guide.

[ Voor 49% gewijzigd door Osiris op 11-08-2009 23:45 ]

dinsdag 11 augustus 2009 23:45

Acties:

Verwijderd

8)7

www-data is een system account en heeft dus geen wachtwoord!!!

Edit: Osiris was mij voor :)

[ Voor 18% gewijzigd door Verwijderd op 11-08-2009 23:48 ]

woensdag 12 augustus 2009 00:07

Acties:
  • Battle Bunny
  • Registratie: Oktober 2001
  • Laatst online: 22-01 17:34

Battle Bunny

Topicstarter
't Blijft heerlijk, een vraag stellen op dit forum. Waarom moet dat nou samen met een 8)7 en :? ? Ik heb onderzoek verricht, veel getest, maar beschik nog niet over voldoende kennis.

Nou ja, twee ventjes met een gestreelde ego. Jullie blij, mijn laatste post hier. :)

woensdag 12 augustus 2009 06:47

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Heeft niets met een gestreeld ego of wat dan ook te maken, maar meer met logisch nadenken. Ik veronderstelde dat je wel wat kennis in huis had, daar je Gentoo draait. Nou niet echt een distro voor de gemiddelde n00b. Misschien stel je niet de juiste vragen ;) "Een user bekend maken" is nou niet echt een zeer concrete vraag en levert je bij mij idd een :? op.

woensdag 12 augustus 2009 19:48

Acties:
  • lamko
  • Registratie: December 2001
  • Laatst online: 20-10-2024

lamko

Controleer eerst of je www-data op beide machines dezelfde uid hebben evt ook nog dezelfde gid.
Rechten met chmod toe kennen mocht dat nog niet gebeurd zijn en met chown evt eigenaar maken weet niet hoe veilig het is. apache te veel rechten geven is natuurlijk niet goed voor een server.

And this !! Is to go even further beyond!!!

woensdag 12 augustus 2009 19:55

Acties:

Verwijderd

Over dat uid/gid gebeuren: ik vind zelf dat je in zulke gevallen het best ook een LDAP server op kunt zetten waarin je de "global" users en groups bijhoudt. Vervolgens zorg je met nsswitch.conf dat er een LDAP server wordt geraadpleegd als een user of group niet in /etc/passwd of /etc/group voorkomt. Als je dat zowel op de clients als de servers doet, heb je overal dezelfde globaal unieke users/groups en heb je dit soort problemen nooit.

Ik gebruik het voor mijn eigen systemen ook, en heb in combinatie met kerberos het zo voor elkaar dat ik eigenlijk nooit lokale user accounts hoef aan te maken. Je weet gewoon zeker dat je daar geen omkijken naar hebt.

woensdag 12 augustus 2009 20:02

Acties:
  • lamko
  • Registratie: December 2001
  • Laatst online: 20-10-2024

lamko

Tuurlijk het overwegen waard, het maakt het veel beter beheersbaar. Maar persoonlijk vindt ik het overkill met maar twee machines een hele LDAP server opzetten. En natuurlijk de extra tijd die je er weer in moet steken om zo iets voor de eerste keer te configureren.

[ Voor 24% gewijzigd door lamko op 12-08-2009 20:04 ]

And this !! Is to go even further beyond!!!

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq